信息安全原理与应用访问控制.pptx
《信息安全原理与应用访问控制.pptx》由会员分享,可在线阅读,更多相关《信息安全原理与应用访问控制.pptx(51页珍藏版)》请在咨信网上搜索。
1、电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处1信息安全原理与应用信息安全原理与应用第九章第九章 访问控制访问控制本章由王昭主写本章由王昭主写电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处2讨论议题讨论议题访问控制的有关概念访问控制的有关概念访问控制的策略和机制访问控制的策略和机制电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用
2、请注明出处3访问控制的概念和目标访问控制的概念和目标一般概念一般概念 是针对越权使用资源的防御措施。是针对越权使用资源的防御措施。基本目标:基本目标:防止对任何资源(如计算资源、通信资源或信息资防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。源)进行未授权的访问。未授权的访问包括未授权的访问包括:非法用户进入系统。非法用户进入系统。合法用户对系统资源的非法使用。合法用户对系统资源的非法使用。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处访问控制的目标访问控制的目标保护存储在某些机器上
3、的个人信息或重要信息保护存储在某些机器上的个人信息或重要信息的保密性的保密性维护机器内系统的完整性维护机器内系统的完整性减少病毒感染的机会减少病毒感染的机会4电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处5主体、客体和授权主体、客体和授权客体(客体(Object):规定需要保护的资源,又称作目标:规定需要保护的资源,又称作目标(target)。主体(主体(Subject):或称为发起者:或称为发起者(Initiator),是一个主,是一个主动的实体,规定可以访问该资源的实体,(通常指用动的实体,规定可
4、以访问该资源的实体,(通常指用户或代表用户执行的程序)。户或代表用户执行的程序)。授权(授权(Authorization):规定可对该资源执行的动作:规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。(例如读、写、执行或拒绝访问)。主客体的关系是相对的。主客体的关系是相对的。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处6访问控制系统的基本组成访问控制系统的基本组成电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请
5、注明出处访问控制与其他安全服务的关系访问控制与其他安全服务的关系电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处8讨论议题讨论议题访问控制的有关概念访问控制的有关概念访问控制的策略和机制访问控制的策略和机制电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处9访问控制策略与机制访问控制策略与机制访问控制策略访问控制策略(AccessControlPolicy):访问控制策略访问控制策略在系统在系统安全策略级安全策略级
6、上表示授权。是对访问如何控制上表示授权。是对访问如何控制,如如何作出访问决定的高层指南。何作出访问决定的高层指南。访问控制机制(访问控制机制(AccessControlMechanisms):是访问是访问控制策略的软硬件低层实现。控制策略的软硬件低层实现。访问控制机制与策略独立,可允许安全机制的重用。访问控制机制与策略独立,可允许安全机制的重用。安全策略之间没有更好的说法,只是一种可以比一种安全策略之间没有更好的说法,只是一种可以比一种提供更多的保护。应根据应用环境灵活使用。提供更多的保护。应根据应用环境灵活使用。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.1
7、2010.1 版权所有版权所有,引用请注明出处引用请注明出处访问控制策略访问控制策略自主访问控制自主访问控制强制访问控制强制访问控制基于角色的访问控制基于角色的访问控制其他访问控制策略其他访问控制策略10电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处自主访问控制自主访问控制自主访问控制概念自主访问控制概念访问控制表访问控制表能力表能力表自主访问控制的授权管理自主访问控制的授权管理11电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注
8、明出处引用请注明出处自主访问控制概念自主访问控制概念自主访问控制自主访问控制(discretionarypolicies,DAC),基于身基于身份的访问控制份的访问控制(Identity Based Access Control)特点:特点:根据主体的身份及允许访问的权限进行决策根据主体的身份及允许访问的权限进行决策。自主是指具有某种访问能力的主体能够自主地将访问自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。权的某个子集授予其它主体。灵活性高,被大量采用。灵活性高,被大量采用。缺点:缺点:信息在移动过程中其访问权限关系会被改变。信息在移动过程中其访问权限关系会被改变。
9、12电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处访问控制矩阵访问控制矩阵任何访问控制策略最终均可被模型化为访问矩阵形式:任何访问控制策略最终均可被模型化为访问矩阵形式:行对应于用户,列对应于目标,每个矩阵元素规定了行对应于用户,列对应于目标,每个矩阵元素规定了相应的用户对应于相应的目标被准予的访问许可、实相应的用户对应于相应的目标被准予的访问许可、实施行为。施行为。按列看是访问控制表内容按列看是访问控制表内容,按行看是访问能力表内容按行看是访问能力表内容电子工业出版社电子工业出版社,信息安全原理与应
10、用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处14访问控制表访问控制表(ACL)每个客体附加一个它可以访问的主体的明细表每个客体附加一个它可以访问的主体的明细表。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处15访问能力表访问能力表(CL)每个主体都附加一个该主体可访问的客体的明细表。每个主体都附加一个该主体可访问的客体的明细表。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处
11、引用请注明出处16ACL、CL访问方式比较访问方式比较(1)ACL电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处17ACL、CL访问方式比较访问方式比较(2)CL电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处18ACL、CL访问方式比较访问方式比较(3)鉴别方面:二者需要鉴别的实体不同鉴别方面:二者需要鉴别的实体不同保存位置不同保存位置不同浏览访问权限不同浏览访问权限不同访问权限回收不同访问权限回收不同多数集
12、中式操作系统使用多数集中式操作系统使用ACL方法或类似方式方法或类似方式由于分布式系统中很难确定给定客体的潜在主体集,由于分布式系统中很难确定给定客体的潜在主体集,在现代在现代OS中中CL也得到广泛应用也得到广泛应用电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处19ACL:基于个人和组的策略:基于个人和组的策略基于个人:根据哪些用户可对一个目标实施哪一种行为的基于个人:根据哪些用户可对一个目标实施哪一种行为的列表来表示。等价于用一个目标的访问矩阵列表来表示。等价于用一个目标的访问矩阵列列来描述。来描述
13、。基于组:一组用户对于一个目标具有同样的访问许可。相基于组:一组用户对于一个目标具有同样的访问许可。相当于,把访问矩阵中多个行压缩为一个行。实际使用时,当于,把访问矩阵中多个行压缩为一个行。实际使用时,先定义组的成员先定义组的成员对用户组授权对用户组授权同一个组可以被重复使用同一个组可以被重复使用组的成员可以改变组的成员可以改变基于组的策略在表示和实现上更容易和更有效基于组的策略在表示和实现上更容易和更有效基础基础(前提前提):一个隐含的、或者显式的缺省策略:一个隐含的、或者显式的缺省策略例如,全部权限否决例如,全部权限否决电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2
14、010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处20访问模式访问模式AccessMode系统支持的最基本的保护客体系统支持的最基本的保护客体:文件,对文件的文件,对文件的访问模式设置如下访问模式设置如下:(1)读)读-拷贝拷贝(Read-copy)(2)写)写-删除(删除(write-delete)(3)运行)运行(Execute)(4)无效)无效(Null)电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处21自主访问控制的授权管理自主访问控制的授权管理集集中中式式管管理理:只只有
15、有单单个个的的管管理理者者或或组组对对用用户户进进行行访访问问控制授权和授权撤消。控制授权和授权撤消。分分级级式式管管理理:一一个个中中心心管管理理者者把把管管理理责责任任分分配配给给其其它它管管理理员员,这这些些管管理理员员再再对对用用户户进进行行访访问问授授权权和和授授权权撤撤消。分级式管理可以根据组织结构而实行。消。分级式管理可以根据组织结构而实行。所所属属权权管管理理:如如果果一一个个用用户户是是一一个个客客体体的的所所有有者者,则则该该用用户户可可以以对对其其它它用用户户访访问问该该客客体体进进行行授授权权访访问问和和授授权撤消。权撤消。协协作作式式管管理理:对对于于特特定定系系统统
16、资资源源的的访访问问不不能能有有单单个个用用户授权决定,而必须要其它用户的协作授权决定。户授权决定,而必须要其它用户的协作授权决定。分散式管理:在分散管理中,客体所有者可以把管理分散式管理:在分散管理中,客体所有者可以把管理权限授权给其他用户。权限授权给其他用户。电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处22Win2000的访问控制的访问控制-1DAC,采用,采用ACL帐户帐户(useraccounts)定义了定义了Windows中一个用户所必要的信息,包括口令、安全中一个用户所必要的信息,包括口
17、令、安全ID(SID)、组成员关系、登录限制,、组成员关系、登录限制,组:组:universalgroups、globalgroups、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一时间和空间唯一,全局惟一的全局惟一的48位数字位数字S-1-5-21-1507001333-1204550764-1011284298-500SID带有前缀带有前缀S,它的各个部分之间用连字符隔开,它的各个部分之间用连字符隔开第一个数字第一个数字(本例中的本例中的1)是修订版本编号是修订版本编号第二个数字是标识符颁发机构代码第二个数字是标识符颁
18、发机构代码(对对Windows2000来说总是来说总是为为5)然后是然后是4个子颁发机构代码个子颁发机构代码(本例中是本例中是21和后续的和后续的3个长数字串个长数字串)和一个相对标识符和一个相对标识符(RelativeIdentifier,RID,本例中是,本例中是500)电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处23Win2000的访问控制的访问控制-2所有对对象的访问都要通过安全子系统的检查所有对对象的访问都要通过安全子系统的检查系统中的所有对象都被保护起来系统中的所有对象都被保护起来文件、
19、目录、注册表键文件、目录、注册表键内核对象内核对象同步对象同步对象私有对象私有对象(如打印机等如打印机等)管道、内存、通讯,等管道、内存、通讯,等对象的安全描述符对象的安全描述符(securitydescriptor)SD包含了与一个安全对象有关的安全信息包含了与一个安全对象有关的安全信息Securityidentifiers(SIDs)fortheownerandprimarygroupofanobjectDACL(discretionaryaccess-controllist)SACL(systemaccess-controllist)以及一组控制标记以及一组控制标记电子工业出版社电子工业
20、出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处24Win2000的访问控制的访问控制-3SecurityAccessToken是对一个进程或者线程的安全环境的完整描述是对一个进程或者线程的安全环境的完整描述包括以下主要信息包括以下主要信息用户帐户的用户帐户的SID所有包含该用户的安全组的所有包含该用户的安全组的SIDs特权:该用户和用户组所拥有的权利特权:该用户和用户组所拥有的权利OwnerDefaultDiscretionaryAccessControlList(DACL)这是一个基本的安全单元,每个进程一个这是一个基本
21、的安全单元,每个进程一个电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处25共享对象的访问权限共享对象的访问权限访问权限:访问权限:(1)完全控制)完全控制(2)拒绝访问)拒绝访问(3)读)读(4)更改)更改电子工业出版社电子工业出版社,信息安全原理与应用信息安全原理与应用,2010.12010.1 版权所有版权所有,引用请注明出处引用请注明出处26Linux中的访问控制中的访问控制-1采用采用DACLinux系统将设备和目录都看作文件。系统将设备和目录都看作文件。对文件有三种访问权限:读、写、执行对文
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 原理 应用 访问 控制
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。